דיוויד צ'ן, מק'קנזי: "ה-IT הבנקאי בשל במוכנות לסייבר משאר המגזרים; בעולם הביטוח – הלא בשל ביותר"

"רמת הבשלות של מערכות ה-IT בארגונים ממגזרים שונים להתמודדות עם איומי הסייבר משתנה ממגזר למגזר. ככלל, מערכות ה-IT בארגונים בעולם הבנקאות בשלות יותר במוכנות שלהן להתמודדות מול איומי הסייבר לעומת שאר המגזרים ואילו מערכות ה-IT בעולם הביטוח הן הלא בשלות ביותר לעמידה מול איומים אלה", כך אמר דיוויד צ'ן, מנהל בחברת הייעוץ מק'קנזי (McKinsey). הנתונים אותם הביא הם תוצאה של מחקר שנערך בקרב עשרות ארגונים פיננסיים מהגדולים בעולם.

צ'ן דיבר במסגרת ועידת הסייבר השנתית. הוועידה, בהפקת אנשים ומחשבים, נערכה אתמול (ג') במשרדי המכון למחקרי ביטחון לאומי (INSS) בתל אביב, בהשתתפות כ-300 מקצועני אבטחה מהמגזרים הביטחוני והציבורי, ומהתעשייה. את הכנס הנחה אל"מ (מיל') ד"ר גבי סיבוני, ראש תוכנית לוחמת סייבר במכון.

לדברי צ'ן, "התחלנו לפעול בעולם הסייבר לפני שלוש שנים. הפעילות החלה בעקבות שאלות ולחץ מצד הלקוחות, המנכ"לים והמנמ"רים. הבנו שעולם האיומים הולך ונעשה יותר מורכב ומסוכן יותר, הן בהיקפו והן במורכבות ובתחכום של האיומים".

הוא אמר, כי איומי הסייבר מביאים להעמקת הדילמות המשלבות את העולם העסקי עם זה הטכנולוגי. כך, סיפר צ'ן, "ההחלטות הופכות להיות קשות יותר. לדוגמה, בחברת ביטוח מסוימת, אירעה פריצה למערכות המידע שלה. המנמ"ר רצה להוריד את המערכת מהרשת עד שתיסגר הפרצה. אלא שהמנכ"ל סירב והסביר לו שמשמעות החלטה שכזו היא הפסד כספי בסך 50 מיליון דולרים מדי שבוע. זו דוגמה לכך שההחלטות עסקיות וטכנולוגיות משתלבות".

לדברי צ'ן, יש כמה נקודות תורפה במערכות ה-IT בעולם הפיננסי, הכוללים נתוני לקוחות, שמהווים נכס עיקרי לאמון במגזר, הצורך ברציפות תפקודית ונכסי ידע כגון תמחור, ביטוח ומסחר. הוא ציין שמק'קנזי פיתחה כלי לבחינת המוכנות של ארגונים והיערכותם מפני מתקפות סייבר.

הוא פירט שורת המלצות להיערכות: "יש להתחיל בהגנה על הנכסים הכי חשובים, יהלומי הכתר, מתוך ראייה בחשיבותם והבנה שאין סגירה הרמטית והפרצה בלתי נמנעת; אי אפשר להגן על גדרות הארגון מבחוץ, יש לתכנן מערכת אבטחה מובנית עם הגנה פנימה, תוך טיפול באיום הפנימי – העובדים; יש לבנות יכולת תגובה, כי התגובה חשובה לא פחות מההגנה; צריך להבין שהאבטחה היא בעיה ואחריות של כולם, לא רק של מחלקת ה-IT; נדרש להיות מעודכן בסביבה ובהתקפות המשתנים תדיר; ויש לבנות תהליכי קבלת החלטות לטיפול בתחום, תוך יצירת קשר עם גורמי האכיפה, תיאום עם גופים דומים מהמגזר הפיננסי בארץ ובעולם, ושיתוף ידע עם חברות אבטחת המידע".

"אנחנו מדמים משחקי מלחמה עם הלקוחות הארגוניים, כי משחקים אלה מעלים את רמת המוכנות של הארגונים, מביאים לבניית תוכניות פעולה ולהיערכות ומהווים הכנה לכשעצמה", סיכם צ'ן.